Forum

Restringir acessos externo ao mk-auth com ip real

Postado por Rodolf em 16 de Outubro de 2010 às 6:00pm
Olá Tenho mais de um mikrotik recebendo ip real de um link da internet... Vou colocar o mk-auth no switch das WANs dos mikrotiks, ou seja, o mk-auth tambem tera ip real... Será que fica bom??? Minha dúvida é como bloquear o acesso externo ao mk-auth pois ele estará diretamente na internet e não quero correr riscos de tentativa de invasão ou negação de serviço e por ai vai... O négocio é deixar uma segurança 99%. Segue a imagem da topologia que estou falando... Favor me dar uma dica de como restringir o acesso somente pelos mikrotiks!

topologia.bmp

Para adicionar comentários, você deve ser membro de MK-AUTH.

Join MK-AUTH

Marcações: acesso, ajuda, ao, ataques, bloqueio, externo, mk-auth
Enviar-me um email quando as pessoas responderem –
Seguir

Respostas

  • webert 16 de Outubro de 2010 as 6:24pm
    Amigo vc quer restringir so acessos externo ou internos tambem ??
  • Igor Lindoso 17 de Outubro de 2010 as 1:18pm
    Aqui, no meu caso, gostaria de restringir o acesso externo...
  • Rodolf 17 de Outubro de 2010 as 1:53pm
    Acesso interno tem que manter para os clientes acessarem as páginas do servidor mk-auth (tipow... central do assinante e por ai vai).
    Agora, minha preocupação é que com nesta topologia o mk-auth está com ip real e assim qualquer um que estiver na internet pode tentar algum tipow de ataque e vai acabar prejudicando meu sistema.
    As vezes o cara pode fazer zilhões de requisições ao meu servidor mk-auth e dar uma travada nele... e por ai vai!

    Quero que o servidor fique invisível à requisições vindas da internet e acessível aos mikrotiks(que estão com a wan no mesmo switch e na mesma faixa de ip real do mk-auth conforme o desenho que coloquei em anexo na primeira mensagem deste post).
  • Wilker Paz 17 de Outubro de 2010 as 5:37pm
    coloca no final no rc.local

    # iptables -A INPUT -s ! [sua rede de ip real] -i eth0 -j REJECT --reject-with tcp-reset

    iptables -A INPUT -s ! 200.200.200.0/0 -i eth0 -j REJECT --reject-with tcp-reset

    Como essa regra vc bloqueia todo tipo de acesso menos a rede de ip que vc definir...

    Att,
    Wilker Paz.
  • Joezaum 17 de Outubro de 2010 as 9:40pm
    Alguem sabe a regra para restringir todos o acesso, somente deixar para acessar o range de ip que eu setar por exemplo.

    Ips 187 189 200 201...que são utilizados no Brasil...
  • Wilker Paz 18 de Outubro de 2010 as 12:05am
    Olá amigo a sua resposta esta acima...

    Att,
    Wilker Paz.

    Joezaum disse:
    Alguem sabe a regra para restringir todos o acesso, somente deixar para acessar o range de ip que eu setar por exemplo.

    Ips 187 189 200 201...que são utilizados no Brasil...
  • Rodolf 18 de Outubro de 2010 as 3:39pm
    Ok, Parece que vai ser isso mesmo... Vou testar posteriormente!
    Obrigado aí pela dica.


    Wilker Paz disse:
    coloca no final no rc.local

    # iptables -A INPUT -s ! [sua rede de ip real] -i eth0 -j REJECT --reject-with tcp-reset

    iptables -A INPUT -s ! 200.200.200.0/0 -i eth0 -j REJECT --reject-with tcp-reset

    Como essa regra vc bloqueia todo tipo de acesso menos a rede de ip que vc definir...

    Att,
    Wilker Paz.
  • alfawalker 18 de Outubro de 2010 as 6:17pm
    so para lembra, amigos apos bloquear o acesso por ip real voce nao mais podera hospedar seu mk-auth com dominio publico tipo seuprovedor.com.br.
  • DEL-LINK PROVIDER 30 de Outubro de 2010 as 9:04pm
    Amigos... não é necessario por ip real no Mk-Auth. caso desejar acessar ele de qualquer local do mundo pela internet, basta criar uma regra no nat e fazer um simples cadastro no DDNS e setar seumkauth.ddns.net:1880

    REGRA:

    / ip firewall nat
    add chain=dstnat action=dst-nat to-addresses=172.31.255.2 to-ports=80 \
    dst-port=1880 protocol=tcp comment="NAT PARA MK-AUTH" disabled=no

    OBS: algun colega já postou sobre isso aqui , me perdoem mas nao lembro qundo nem´por quem
This reply was deleted.